Qakbot의 방어 분석을 극복하기 - Lab52 공유

💌 보안 소식
1

Qakbot의 방어 분석을 극복하기

QakBot 2008년부터 개발되어 2021년, 2022년 및 2023년에 계속 활동하고 있는 뱅킹 트로이입니다. 감지를 피하기 위해 Windows zero-day 및 OneNote 파일을 사용하여 자신을 드롭하는 등 지속적으로 전략을 업데이트하고 있습니다. 이 기사는 샘플 분석을 통해 초기 실행 단계에서 사용되는 안티 분석 기법을 중심으로 살펴보고 수행되는 검사를 요약합니다. QakBot은 Windows Defender가 실행 중인지 여부를 대표적인 파일을 검색하여 확인합니다.

Bypassing Qakbot Anti-Analysis

QakBot is a banking trojan that has been evolving since 2008 and has remained active in 2021, 2022 and 2023. It has been constantly updating its tactics to avoid detection, such as using Windows zero-day and OneNote files to drop itself. This article focuses on anti-analysis techniques used in its early execution stages by analyzing a sample and summarizing the checks performed. QakBot verifies if Windows Defender is running by searching for representative files.

https://lab52.io/blog/bypassing-qakbot-anti-analysis-tactics/